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METHODE DE STOCKAGE ET DE TRANSMISSION 
□'INFORMATIONS GENEREES PAR UN MODULE DE SECURITE 

La presente demande concerne le domaine de la transmission 
d'informations dans un reseau d'appareils relies a un centre de diffusion 
5 e t ne disposant pas de liaison de retour permanente. 

Dans un reseau de television a p6age, il est frequent de se trouver dans 
une situation dans laquelle les appareils des utilisateurs regoivent des 
sighaux de controle de la part d'un centre de gestion, ces signaux 
permettant de gerer la securite d'acces aux donnees diffus£es. 

10 Des mecanismes complexes ont ete d6veloppes pour que de 
nombreuses fonctions individuelles puissent etre accessibles sans la 
necessite d'une connexion vers un centre de gestion. 

Parmi ces mecanismes,* Ton peut citer I'acces a des contenus a la 
demande grace a la presence d'un credit a affecter librement sur 
15 I'evenements de son choix. 

Par "contenu" on entend un service d'informations boursiere; de m6t6o, 
de television generaliste, d'un 6venement sportif pu. autres. Ces 
contenus peuvent etre diffuses sur des unites d'utilisateurs tels qu'un 
decodeur de television a peage, un ordinateur voire un telephone 
20 portable, un "palm-top", un PDA, une radio, une television, "une borne 
multimedia. 

Le flux numerique est chiffre afin de pouvoir en controler Tutilisation et 
de d6flnir des conditions pour une telle utilisation. Ce chiffrement est 
realise grace a des mots de controle (Control Words) qui sont changes 
25 a intervalle regulier (entre 5 et 30 secondes) afin de dissuader toute 
attaque visant a retrouver un tel mot de controle. 
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L'unite d'utilisateur comprend un module de s£curite, generalement 
amovible, qui gere les operations de securite telles que la verification 
des droits et le dechiffrement des des necessaires (mots de controle) 
au decodeur pour acc£der aux donnees transmises. 

5 La comptabilisation de I'utilisation de tels contenus est aujourd'hui 
basee sur le principe de I'abonnement ou de I'achat d'evenement. 
L'abonnement permet de definir un droit associe a un ou des canaux de 
diffusion et permet a Putilisateur d'obtenir ces canaux en clair si le droit 
est present dans son unite de s6curit6. 

10 Parallelement, il est possible de definir des droits propres a un contenu, 
tel qu'un film ou un match de football. L'utilisateur peut acqu6rir ce droit 
(achat par exemple) et ce contenu sera specifiquement gere par ce 
droit. Cette methode est connue sous I'appellation achat impulsif (pay- 
per-view PPV). 

15 Lors du d6cryptage des mots de controle, il sera verifie si un droit 
associe aux conditions d'acc^s est present dans le module de securite. 

Le mot de controle est retourne en clair & Tunite d'utilisateur lorsque la 
comparaison est positive. 

Certaines unites d'utilisateurs disposent de voie de retour pour 
20 communiquer le choix de Tutilisateur et ainsi acquerir les droits propres 
a un choix particulier. Cette voie est generalement un modem connecte 
& une ligne telephonique ou a un reseau. Du fait de la reticence de 
certaines personnes pour toute forme de supervision sur la 
consommation reelle des contenus, le cable n'est tout simplement pas 
25 relie vers la prise telephonique et la transmission des donnees vers le 
centre de gestion ne s'effectue pas. II se peut que cette liaison ne se fait 
pas pour des raisons pratiques car la prise telephonique est trop 
eloignee du poste de television. 
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Lors de I'etablissement d'un module de securite pour un nouveau client, 
il est d'usage de lui attribuer un credit pour lui permettre de tester les 
fonctionnalites de I'achat impulslf. Ce credit n'est pas facture au client 
car a priori, il ne sera peut etre jamais utilise. 

5 En fonctionnement normal, I'utilisateur achete un ou deux films avec ce 
credit et connecte son unite d'utilisateur pour le recharger. A ce 
moment, le centre de gestion etabli la facture pour les deux films 
consommes et recharge le module d'un montant convenu avec 
I'utilisateur. 

10 Tant que I'utilisateur ne connecte pas son unite a un reseau, le centre 
de gestion ne peut facturer la consommation realisee sur ce credit 
initial. De ce fait, I'ensemble des credits non factures sur tous les 
modules de securite peut representer des sommes tres importantes. 

Des mesures ont ete entreprises telles que la proposition de jeux pour 
15 inciter, par la distribution d'un prix, les utilisateurs a connecter leur unite. 

Le probleme se pose d'une maniere definitive lorsqu'un changement de 
module de securite est effectue, en general pour des raisons devolution 
technologique. L'operateur est satisfait quand I'utilisateur procede dans 
les temps a cet echange et il est difficile d'obliger I'utilisateur a retourner 
20 son ancienne carte dans le but de lui facturer des prestations. De ce 
fait, les donnees comptables de I'utilisation du credit contenues dans 
I'ancien module sont considerees comme perdues. 

Le but de la presente invention est de pouvoir recuperer les 
informations concernant I'utilisation du credit sur un module de securite 
25 et de transmettre ces informations a un centre de gestion. 

Ce but est atteint par une methode de stockage et de transmission 
d'informations generees par un premier module de securite connecte a 
une unite d'utilisateur, ce premier module de securite comprenant un 
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identifiant unique et des informations representatives de son 
fonctionnement, ce premier module pouvant etre remplace par un 
second module de securite, cette nrtethode comprenant les etapes 
suivantes: 

5 - determination des informations specifiques contenues dans le premier 
module de s§curite destinees & la transmission, 

- transfert de ces informations dans I'unite d'utilisateur, 

- stockage de ces informations dans I'unite d'utilisateur, 

- remplacement du premier module de securite par le deuxi&me module 
10 de securite, 

- connexion de I'unite d'utilisateur sur un reseau de transmission, 

- initialisation d'une communication entre le second module de securite 
et un centre de gestion, 

- insertion par I'unite d'utilisateur, d'un bloc de donnees dans les blocs 
15 transmis par le second module, ce bloc comprenant I'identifiant du 

premier module et les informations specifiques audit premier module. 

Cette rrtethode permet de recuperer des donnees dans un premier 
module de securite alors que la connexion avec le centre de gestion est 
realisee grace au second module de securite. 

20 L'echange de module de s6curite represente une opportunite de 
requerir cette connexion pour initialiser le nouveau module. 

Les informations specifiques repr6sentent toutes les donn6es qui sont 
generees localement et done ne sont pas connues par le centre de 
gestion. En plus des informations sur les achats impulsifs, il existe 
25 plusieurs compteurs statistiques sur I'utilisation reelle de I'unite 
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d'utilisateur ou decodeur ainsi que des informations concernant les 
versions des fonctionnalites du module de securite. 

Lors de cette connexion, le decodeur va constituer un bloc de donnees 
dont I'identification sera differente des autres blocs provenant du 

5 module de securite. Un bloc est constitue d'un en-tete comprenant le 
numero unique du module de securite et des donnees qui sont 
generalement encryptees par une cle, soit de transmission commune a 
tous les modules de securite, soit personnelle c'est-a-dire propre a un 
module de securite. Cette cle peut etre de type symetrique ou 

10 asymetrique. Le flux de donnees comprendra done des blocs avec 
comme identifiant le nouveau module de securite et un bloc avec 
comme identifiant I'ancien module de securite, ceci transmis lors d'une 
meme session. 

L'invention sera mieux comprise grace a la description detaillee qui va 
15 suivre et qui se refere aux dessins annexes qui sont donnes a titre 
d'exemple nullement limitatif, a savoir: 

- la figure 1 illustre les differents elements de l'invention et 

- la figure 2 illustre le traitement des blocs de donnees. 

Sur la figure 1, le decodeur STB dispose d'une memoire non volatile 
20 M1. Cette memoire va servir a stacker les donnees provenant du 
module de securite SC actuellement connecte. Dans notre exemple, le 
module de securite SC1 a ete retire du decodeur STB et remplace par 
le nouveau module SC2. 

Selon le mode operatoire choisi, les donnees propres au module de 
25 securite sont exportees de la memoire du module de securite M2 vers 
une memoire M1 destinee a ces donnees situees dans le decodeur 
STB. Ce transfert pourra par exemple s'effectuer a chaque modification 
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du contenu de la memoire M2, ou a intervalle regulier, voire sur 
commande du centre de gestion. 

Associes a ces donnees, le module de securite adjoint un identifiant tel 
que le num6ro unique UA. Les donnees sont transmises du module de 
5 securite SC vers I'unite de traitement MC du decodeur. Cette unite gere 
la communication avec le centre de gestion et le stockage des donnees 
dans la memoire M1 . 

Les donnees stockees dans la memoire M1 peuvent etre encryptees 
par une cle locale propre au decodeur. Ces donnees sont par exemple 

10 accompagnees par une signature calcul6e par le module de securite SC 
et authentifiant I'ensemble des donnees. Ainsi, si elles etaient modifiees 
dans le decodeur, le centre de gestion pourrait facilement detecter une 
telle modification. La signature utilise une cl6 asymetrique dont la partie 
correspondante est contenue dans le centre de gestion. L'identifiant 

15 unique permet de retrouver dans la memoire securisee du centre de 
gestion la cle pour d6chiffrer la signature et verifier si les donnees 
regues sont correctes. 

Sur la figure 2 est illustre un exemple des blocs de donnees BCS 
transmis vers le centre de gestion. Lors de la connexion du decodeur au 

20 centre de gestion, I'unite de traitement MC demande les donnees au 
module de securite SC connects et transmet les blocs BSC2 provenant 
du module SC2. L'unite de traitement MC va egalement reprendre les 
donnees stockees dans la memoire M1 et dans notre cas qui vont 
correspondre aux donnees propres du precedent module de s6curit<§ 

25 SC1 . Ces donnees sont transmises sous la forme du bloc BSC1 . 

Selon un mode de realisation, le centre de gestion CGS comprend un 
module de separation permettant de trier les blocs et les traiter de la 
manidre appropriee. En effet, le module d'entr6e est en principe 
configurer pour verifier que chaque bloc provient de la meme source et 
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done comprend le meme identifiant. C'est pourquoi il est important de 
separer les blocs pour qu'ils puissent, en tout cas pour la partie des 
blocs BSC2, etre traite de maniere conventionnelle. Le bloc BSC1 aura 
un traitement specifique justement dans le but de recuperer des 
5 informations sur les modules de securite qui ne sont plus connectes. 

Afin d'eviter de perdre les informations stockees dans la memoire du 
decodeur STB par le remplacement des donnees propres au nouveau 
module de securite SC2, le centre de gestion dispose d'une commande 
pour declencher, dans le module de securite connecte au decodeur, 
10 I'operation de transfert des donnees vers le decodeur. 

Ainsi, lors d'un changement de module, le nouveau module est 
initialement non habilite a transferer ses donnees et les donnees 
contenues dans la memoire M1 restent representatives du precedent 
module de securite. 

15 Le centre de gestion va attendre que ces informations lui parviennent 
selon la methode decrite plus haut. Une fois ces informations traitees, le 
centre de gestion envoie une commande pour autoriser le module de 
securite a transmettre ses informations vers le decodeur et ainsi 
renouveler le contenu de la memoire M1 . 
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REVENDICATIONS 

1 . Methode de stockage et de transmission d'informations generees 
par un premier module de securite connecte a une unite d'utilisateur, ce 
premier module de securite comprenant un identifiant unique et des 
informations representatives de son fonctionnement, ce premier module 
pouvant etre remplace par un second module de securite, cette 
methode comprenant les etapes suivantes: 

• determination des informations specifiques contenues dans le 
premier module de securite destinies a la transmission, 

• transfert de ces informations dans l'unite d'utilisateur, 

• stockage de ces informations dans l'unite d'utilisateur, 

• remplacement du premier module de securite par le deuxieme 
module de securite, 

• connexion de l'unite d'utilisateur sur un reseau de transmission, 

• initialisation d'une communication entre le second module de 
securite et un centre de gestion via l'unite d'utilisateur, 

• insertion par l'unite d'utilisateur, d'un bloc de donnees dans les blocs 
transmis par le second module, ce bloc comprenant I'identifiant du 
premier module et les informations specifiques au dit premier 
module. 

2. Methode de stockage et de transmission selon la revendication 1 , 
caract§risee en ce que le transfert des informations specifiques du 
module de securite est effectue a intervalle regulier. 

3. Methode de stockage et de transmission selon la revendication 1, 
caracterisee en ce que le transfert des informations specifiques du 
module de securite est effectue a chaque modification desdites 
informations. 
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4. Methode de stockage et de transmission selon les revendications 
1 a 3, caracterisee en ce que le transfert des informations specifiques 
est stoppe apres le remplacement du premier module par le second 
module de securite. 

5. Methode de stockage et de transmission selon la revendication 4, 
caract6rise en ce que le transfert des informations est autorise des lors 
qu'une liaison reussie avec le centre de gestion a ete realisee. 

6. Methode de stockage et de transmission selon la revendication 4, 
caracterise en ce que le transfert des informations est autorise par une 
commande envoyee par le centre de gestion. 
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